Pourquoi sécuriser votre site WordPress ?
La sécurisation de votre site internet est une étape primordiale qui doit être envisagée dès sa conception.
NetDevices a conscience de ce problème. En effet de nombreux sites notamment les sites de e-commerce sont actuellement la proie d’attaques cybercriminelles plus ou moins fortes.
Les apports d’un site “safe” :
- “Sécuriser son site, c’est améliorer son référencement” : Ce critère est désormais au coeur des principes de tout webmarketeurs. En effet, Google a annoncé en 2017 sa volonté de favoriser le ranking des sites en HTTPS dans les résultats de recherches.
- Une meilleure expérience de gestion de vos données et informations.
- Eviter le phishing (hameçonnage), les spams ou encore le defacing (effacement ou remplacement de votre site internet par un autre) = des internautes plus confiants. En effet, “qui accepterait de communiquer ses données personnelles sur un site non sécurisé ? “
L’objectif de cet article va être de vous conseiller, de vous accompagner pour une meilleure sécurisation de votre site WordPress en 6 étapes.
Astuce n°1 : Sécuriser le Back Office (wp-admin)
De nombreuses pratiques telles que la création d’un mot de passe complexe ou la mise en place d’un CAPTCHA* sur les formulaires de votre site (de connexion ou inscription par exemple) peuvent s’avérer utiles cependant restent insuffisantes. Une bonne pratique pour vous va être de sécuriser l’espace de connexion à votre back-office en modifiant l’URL de connexion.
Cela est possible grâce à des extensions WordPress telles que WPS Hide login.
Qu’est ce que WPS Hide login ?
Celui-ci plugin WordPress qui va vous permettre de modifier en toute sécurité l’url de la page de formulaire de connexion, sans que cela n’impacte sur vos fichiers.
Son mode de fonctionnement
Ce plugin proposé par WPServeur (hébergeur WordPress) vous donne la possibilité de personnaliser vos URL de connexion “wp-login” et “wp-admin” durant la configuration.
Attention : Il est important de vous rappeler des modifications que vous apporterez à votre URL afin de ne rencontrer aucun problème lors des prochaines connexions.
Pour revenir à l’URL d’origine, il vous suffira de désactiver le plugin.
Astuce n°2 (pour les anciens sites) : Passer son WordPress en HTTPS
HTTPS (HyperText Transfer Protocol Secure) est la combinaison du protocole HTTP et du certificat SSL.
Le protocole HTTP correspond à un processus de communication établi afin de procéder à une connexion entre un navigateur web (ex : Chrome, Firefox, Explorer, Safari) et un serveur hébergeant l’ensemble des données de votre site internet.
Le certificat SSL est un fichier de données qui va lier une clé cryptographique aux données présente dans le serveur. Autrement dit il s’agit d’un “cadenas” de sécurité qui va activer le protocole HTTPS lors de la connexion entre le serveur et le navigateur.
Remarque : passer au protocole HTTPS vous permet non seulement de sécuriser vos données récoltées mais aussi de rentrer en adéquation avec les critères de Google ce qui ^peut avoir un impact positif sur votre référencement.
Astuce n°3 : Bien choisir sa template
Le choix de votre thème WordPress est aussi un élément à prendre en compte lors de la sécurisation de votre site. En effet ceux-ci (notamment les thèmes gratuits) peuvent cacher des virus.
“Comment savoir si mon thème cache un virus ?”
Un virus sur votre site wordpress peut s’identifier de différentes manières, par exemple :
- Des redirections vers d’autres sites lorsque l’on essaie d’accéder à une page de votre site depuis l’URL ou un moteur de recherches (ce qui peut avoir un impact négatif sur votre référencement : Google n’apprécie guère les liens cachés)
- Des bugs constants avec vos builders ou durant l’affichage de vos pages en preview
Pour contrer cela, il faut donc installer un antivirus.
Astuce n°4 : Mettre en place un plugin antivirus et anti-spam
Il existe une multitude de plugins WordPress antispam. Les plus connus sont : Wordfence Security, Ithemes Security et JetPack.
JetPack
C’est une suite d’extensions WordPress très populaire, proposant de multiples outils concernant :
- La conception (thèmes Jetpack pour WordPress, gestion des abonnements, formulaires et commentaires)
- Le suivi de performances et SEO (statistiques, intégrations Google Analytics,
- Les outils de sécurisation ( anti spam, protection contre attaques par force brute , sauvegardes et restauration de sites, etc. ).
Il existe actuellement 4 formules Jetpack : free, personal (3,50 € par mois) , premium ( 9 € par mois) et professional( 29 € par mois).
Wordfence Security
Il s’agit d’un plugin WordPress destiné à sécuriser entièrement votre site. Celui-ci va permettre aussi bien de vous protéger contre les attaques à force brute, que de détecter des potentielles modifications suspectes et malwares. Il est disponible en version gratuite et premium (39$ par an).
Caractéristiques de la version premium : des scans plus fréquents, un meilleur filtrage du spam dans les commentaires, un support technique
Remarque : pour un site “de petite taille”, exposé à des risques assez classiques, la version gratuite est amplement suffisante.
Itheme security
C’est un autre exemple de plugin d’antivirus. Celui-ci est disponible en version payante uniquement. Il propose les mêmes fonctionnalités que les exemples précédents.
Astuce n°5 : Ne pas oublier les CAPTCHA
Il existe plusieurs types de CAPTCHA. Le plus connu reste le test visuel, se présentantant sous la forme d’une suite de caractères (lettres et/ou chiffres) déformés que l’internaute doit recopier dans un espace réservé.
Remarque : Les caractères déformés des captcha ne sont lisible que par l’homme, ne peuvent être déchiffrés par les robots. Ce test va donc permettre de vérifier que vous êtes un être humain et non un programme informatique.
Une autre technique consiste uniquement à cocher une case “je ne suis pas un robot”.
Un autre type de CAPTCHA sera basé sur une vérification humaine grâce à des images.
Cette méthode consiste à analyser le comportement de l’internaute au moment de cocher la case. En cas de doute, une série d’images sera proposée à l’internaute.
On retrouve communément ces différents captchas lors de la connexion à un compte ou lorsque l’on rempli un formulaire.
Un exemple de plugin WordPress : WP reCaptcha.
WP reCAPTCHA
Il s’agit d’un plugin WordPress qui va vous permettre de sécuriser les connexions, les inscriptions et commentaires avec un captcha.
Remarque : après configuration du plugin, des captcha vont être automatiquement intégrés dans vos formulaires.
Ce plugin est compatible avec d’autres extensions telles que Woocommerce (s’intègre aux formulaires de commande), WP Multisite ou encore BBpress( gestion de forums).
Astuce n°6 : Les sauvegardes régulières de votre site
Il est important de conserver des backups / sauvegardes de votre WordPress. Cela va en effet vous permettre en cas de problème de procéder à une restauration globale de votre site.
Deux sauvegardes sont réalisées :
- celle de votre base de données
- celle de votre site internet.
Cela peut se faire manuellement ou de façon automatisée par le biais d’extensions WordPress (recommandé).
Un exemple d’extensions : BackWPup.
BackWPup
Ce plugin WordPress spécialisé dans la sauvegarde et restauration propose plusieurs fonctionnalités, à savoir :
- La sauvegarde, l’optimisation et réparation de bases de données
- L’exportation d’articles et pages en fichiers .xml
- La création de backups aux formats zip, tar, tar.gz, tar.bz2
- L’envoi de sauvegardes sur votre serveur FTP, Amazon S3, Google Storage, Microsoft Azure, RackSpaceCloud, Dropbox, SugarSync…
- L’envoi des logs et backups sur votre email
Vous souhaitez créer / refondre votre site Worpdress ?
NetDevices vous accompagne tout au long de votre projet.
Contactez-nous pour un devis gratuit.